你的QQ是否被盗过号，或者你身边的朋友、同学是否有过被盗号的经历。如今的安全机制真的没有效吗？盗号真的这么简单吗？本期将彻底解决这一问题。

本期是上一期的姊妹篇，建议先看上一期，这样对于攻击者的手法才有更好的理解：传送门

常见的盗号手法

1、诱导链接以及二维码
  这种情况在QQ群里面见的多。通常是发送一些具有诱惑性的链接诱导你去点击。也可能会是一些二维码，如下图。为了做这期，能更好的了解其盗号的手段，我把凡是我看到的盗号链接都点了个遍，那些恶意二维码我也扫了个遍。这是我在了解其原理并做了相应的安全措施前提下做的，小伙伴们千万不要去乱点乱扫。

这样的链接是不是很常见，还有很多其它的，不局限于这种。这里只是举个例子。还有二维码形式的，如图： 这种二维码和链接是一个意思，二维码本身就是URL的图形化。 这样的在QQ空间，留言板等地方很常见。包括下面这种，注意这只是举个例子，还有很多其它各式各样的二维码，总之就是带有很强的诱惑性的二维码。 还有像什么“这人空间怎么有你的照片...”，“学院在线信息表格填写”，“紧急通知，学院要求...”等等，一般很多时候我们没多想就点进去了。以上链接和二维码，点击或者扫码后一般都会进入以下登录页面：   这个页面做的和腾讯官方的十分相似，如果正常填写并登录，那么你已经中招了。原理其实也简单。攻击者首先购买一台云服务器（很便宜的那种），然后搭建一个简易的网站，简单到只有一个页面，那就是你看到的这个登录页面。一旦你输入账号密码，点击登录的那一刻，你的信息就会被发送至攻击者的服务器，盗号便成功了。

2、钓鱼邮件
  攻击者会模仿腾讯官方给你发一封邮件，告诉你QQ账号异常，需要修改密码等等。我们看到这样的消息往往会很着急，这就很容易进入攻击者的圈套。如下图：

打开邮件后里面是这样的内容：

该邮件内容和官方发送的提醒很相似，我们往往不假思索的按照提示更改密保手机号，如图：

它会要求输入账号密码登录，以确认是本人操作（总之做的很像那么一回事）。如图：

和前面一样，你输入密码后就会被攻击者取获，你的QQ就这样被盗了。

  那么如何辨别 异地登录 或 异常登录 提醒邮件是真是假呢？收到QQ帐号异地登录邮件时，辨别是否冒充腾讯QQ安全中心发送的邮件，就看邮箱是不是：accounts@tencent.com；如图：

官方邮件发件人后面有一个蓝色腾讯小图标，鼠标移到图标上方时会提示“腾讯系统邮件”，如图：

这些都说明是官方的邮件，其它的一概不可信。
3、好友辅助验证
  有时我们会遇到QQ冻结的情况，这时解冻需要找好友帮忙验证，攻击者也是利用这一点进行裂变攻击。当我们的好友向我们发来辅助验证请求，我们一般会给予帮助，如下图：

看上去好像很正规，弄得挺像那么一回事。但是当你填写完以后，攻击者也就获取到你的密码了。其实原理和前两个差不多，只是方式不一样。由于上一期我们讲过（传送门），开启登录保护后即使泄露密码，攻击者也无法登录你的QQ，所以他们往往还需要发短信验证，如下图：

观察发现，在前面的问卷中，攻击者已经获取到我的账号和密码了，但是仍然需要我发短信验证。这时因为他光拿到账号和密码还不行。不过要小心了，这个短信验证很可能是对方要修改你的密保手机，或者改密，转账等敏感操作。

4、各种刷会员刷钻或外挂程序

还有网上下载的，或者别人发给你的各式各样的小软件。有免费刷钻的，有免费刷会员的，还有各种游戏外挂，免费刷游戏装备的等等。如下图：

这是刷钻、刷会员一类。 这是游戏外挂一类。 这是刷游戏装备一类。

可以发现，这些软件都是要求你输入账号和密码的。这些都是利用贪小便宜的心理，一旦你输入了账号密码，就会被发送至攻击者的服务器后台。你的QQ也就被盗了。
5、盗号木马
  倘若有人通过邮件或QQ发送诸如“我的照片.exe"这样的文件，这很可能是窃取QQ密码的木马。这种程序在运行后，就会把QQ号码和密码自动发送到木马程序指定的邮箱。不仅如此， QQ还会自动将类似的木马程序发送给其他好友。
  在早期的时候，10多年前吧，还有键盘记录木马，在你输入QQ账号密码时，记录下你的键盘记录，然后发送至攻击者后台。不过后来由于QQ安全升级，这种方法很快就淘汰了。取而代之的是从内存中读取账号密码，有点类似于之前Windows系统上的"getpass.exe"木马程序。之前盗号木马盛行的时期，往往把木马和图片绑定，你只需要打开图片就中了木马，然后QQ就被盗了。
  不过这些木马现在都已经淘汰了，目前光靠木马获取QQ密码几乎是难于登天。这也就是为什么近些年盗号都是通过上面介绍的那些钓鱼手段，既然软件找不到漏洞，那就利用社会工程学，人性总是有弱点的，诱导你自己输入账号密码。
  你可能会想，以上这些手段，不管是诱导链接、恶意二维码、钓鱼邮件、辅助问卷等等，不论是哪种形式，都是万变不离其宗，换汤不换药，最后都是骗你输入账号密码，那我只要不输入账号密码不就行了。以后凡是QQ登录，我都扫码登录，不再输入自己的账号和密码，不就不会被盗号了。虽然说扫码登录会安全很多，但依然有风险。
6、伪装QQ授权登录
  这招比较新颖，我是也是偶尔发现的。我们知道，很多应用都接入了腾讯QQ的API，比如我们登录一些非腾讯旗下的网站时，会有QQ登录这一选项，如下图：

这些是按照腾讯QQ提供的API接入的，正常情况会是这样： 这种情况下这些网站只是获取我们的昵称、头像信息以及openID，是获取不到我们的账号和密码等敏感信息的。我们使用QQ扫码后正常情况是这样的： 这是正常情况，QQ授权登录。但有一次我遇到伪造的QQ授权登录，你扫码之后，弹出的是下面这样的页面： 或者是这样的： 注意和上面授权登录的区别，这里写的是允许登录网页版或未知设备。你要是不小心点了允许，那对方就直接可以操作你的QQ了。原理其实很简单，就是把登录二维码发给你，你扫码就登录了。这种伪装成QQ授权登录的其实一眼就能看出来，但就怕手快点了。所以要警惕。

扫码登录也并非绝对安全

  话说我之前也一直认为扫码登录是绝对安全的，直到遇到这么一个案例。也是我的一位同学，他一直都是扫码登录，也没有登录过任何钓鱼网站，但是QQ依然被盗号了。然后盗号者会群发广告诈骗信息进行钓鱼。这就很奇怪了，盗号者是怎么登录上他的QQ号的，他的账号一直以来都开着登录保护，除了扫二维码登录之外都要输入动态密码才能登陆上账号的。
  后来才知道，被封前一天他去了网吧，在查询了账号的历史登录IP之后，确定了是在网吧出的问题。

15:51分扫码登录电脑QQ，之后登录游戏，一切正常。但是15:54分的3个网页登录就很奇怪了，因为那时候他应该已经在玩游戏了，没有再进行其它登录活动，点开发现果然和开始登录的IP不是同一个。我们先看15：51分登录的情况：

这个时候IP地址是125.91开头的，再看15：54分的网页登录：   同时，在这三个网页登录中，只有中间这个IP是不同的，也就是这个是113.100开头的IP地址，可以判断此刻已经将网页登录的cookie发送至其他机器登录了。

  不过还有一个问题，现在网页版QQ已经被腾讯停止服务了，盗号者是怎么通过网页cookie登录发送广告诈骗信息到群里的呢？原因就是现在很多网页端都有分享功能，通过这个接口调用可以发送QQ聊天信息。如下图：

通过群发的消息可以看到，这种分享左下角会显示"网页分享"，如图：

  到这里就清晰了，盗号者确实是通过二维码登录的客户端来实现群发广告诈骗信息的。由于他扫码登录了电脑QQ客户端，网吧这台电脑被植入了木马程序，后台运行的木马使用网页快速登录，保存cookie之后发送去作案的服务器，调用腾讯网页分享接口来发送垃圾信息。通过上述的方法，盗号者可以在不知道密码的情况下，仅仅通过你登录过QQ客户端，就可以畅通无阻地实现他的目的。
  现在这种方法也不能用了，腾讯进行了安全加固，现在网页分享要手机扫码，然后通过手机打开那个网页，再在手机上面分享那个网页。不过由于QQ体系过于庞大，有很多之前不安全的API接口虽然已经停用和废弃了，但难免会有漏网之鱼，没能及时下线的API接口，所以还是会有很多方法能绕过你的账号保护措施。

总结

  要避免被盗号，首先不要再使用账号密码登录，统统改成扫码登录，安全性瞬间提高一个档次。

不要在任何地方输入账号密码，不管是哪种手段（邮件、链接、二维码），最后都是诱导你输入账号密码，只要你不输入，一般拿你没办法。如果一定要输入，必须确定是官方网址，下面是常见的官方网站：

网站	网址
QQ邮箱	mail.qq.com
QQ空间	qzone.qq.com
QQ安全中心	aq.qq.com
腾讯视频	v.qq.com
QQ音乐	y.qq.com

  一般二级域名都是qq.com，如果不是就要小心了。
  第二点就是：在非私人设备上登录QQ时（不是自己电脑上），比如像网吧里的电脑登录QQ时，就要额外小心，因为攻击者可能在网吧电脑里植入了木马程序，如果你需要登录QQ，一定要先检查是否有可疑进程在后台运行，找到并将其杀死。很多人被盗往往就是在网吧里登录了QQ。剩下的就是点击了那些链接然后填了账号密码。
  另外我看到过还有利用XSS漏洞和CSRF漏洞来获取登录令牌的，这些方法也只在早些年有过，现在几乎不可能还存在这样的低级漏洞。现在安全防御手段十分完善，动态token，二次验证，输入过滤，HttpOnly机制等等，几乎是宣判了XSS攻击的死刑。
  本篇结合上一篇：传送门，完美解决QQ盗号问题。这两篇爆肝了3天，创作不易，喜欢还请点赞支持一下！笔者公众号：极客随想，欢迎关注，干货满满。